Ministerul Educatiei al Republicii Moldova

Universitatea Tehnică a Moldovei

Facultatea CIM
Departmetul ISA

REFERAT
Disciplina: Cadrul organizational legal al securitatii

Tema: Auditul Securitatii informationale

A efectuat :
studentul grupei

A verificat:
Lector universitar

Chişinău 2018
1. Introducere în auditul IT
Tehnologiile informaţionale sînt parte indispensabilă a vieţii contemporane.
Posibilităţile şi avantajele pe care le oferă sînt principalele premise care fac ca ele
să-şi găsească o aplicare largă în cadrul sectorului guvernamental. În limita
resurselor disponibile, autorităţile publice implementează diferite soluţii ale
tehnologiilor informaţionale pentru a-şi eficientiza procesele de lucru.
În acest context, Curtea de Conturi, ca instituţie supremă de audit a ţării este
obligată să-şi creeze şi să-şi menţină capacităţile corespunzătoare în domeniul
auditului sistemelor informaţionale. Auditul sistemelor informaţionale reprezintă o
provocare la care aceasta trebuie să facă faţă.

1.1. Definiţia auditului IT

Auditul IT poate fi descris în general ca un proces de obţinere şi evaluare a
probelor pentru a determina dacă un sistem IT protejează activele organizaţiei,
utilizează eficient resursele, menţine securitatea şi integritatea datelor şi realizează
obiectivele business-ului în mod eficace.

Unele din varietatea de tipuri de audite IT includ următoarele:

Analiza O analiză detaliată a controalelor manuale şi

controalelor celor automatizate într-un sistem IT, cu obiectivul
de a estima gradul de încredere asupra tranzacţiilor
procesate şi rapoartelor generate de sistem
Auditul Auditul rapoartelor financiare procesate
sistemelor /generate de un sistem IT, în vederea exprimării
financiare unei opinii de audit
Auditul Examinarea unui sistem IT pentru a
performanţei sau estima dacă obiectivele preconizate pentru
VPB a sistemelor implementarea
IT sistemului au fost realizate în mod eficace, cu
atenţia cuvenită asupra economicităţii şi
eficacităţii
 Auditul Auditul sistemelor IT în proces de elaborare
sistemelor în pentru a estima dacă:
proces de
elaborare  planificarea, design-ul şi elaborarea
sistemelor este făcută într-un mod structurat
într-un mediu controlat, şi în conformitate cu
metodologia specificată;
 controalele adecvate şi eficace sunt luate
în considerare la fiecare etapă a
procesului de elaborare a sistemului; şi
 sistemul prevede o pistă adecvată de audit
Auditul judiciar În cazuri de suspectări de fraudă, acte ilegale
sau încălcări ale politicilor şi procedurilor
companiei, o anchetă pentru a colecta probe de
audit, prin
utilizarea instrumentelor / dispozitivelor
corespunzătoare pentru restabilirea datelor
într-un mod fundamentat din punct de vedere
juridic din dispozitive de calculator (inclusiv
computatoare de buzunar, telefoane mobile, etc.)
utilizate de către suspect; şi
analizarea datelor colectate pentru a determina
proporţia actelor ilegale şi culpabilitatea
persoanelor implicate
Audit al Auditele controalelor de securitate în sistemele
securităţii TI pentru a estima gradul în care sunt menţinute
informaţionale confidenţialitatea, integritatea şi disponibilitatea
datelor şi sistemelor, proporţional cu profilul
riscului sistemului IT şi organizaţiei
Tehnici de Utilizarea instrumentelor automatizate şi
audit asistate de software de audit pentru:
calculator (CAAT)
 Descărcarea datelor din sistemele TI
ale entităţii auditate;
 Analiza şi verificarea datelor entităţii auditate
pentru realizarea obiectivelor de audit
tradiţionale.
 1.2. Obiectivele Auditului TI
În baza evaluării riscurilor şi a controalelor aplicaţiei /sistemului selectat
pentru audit sunt stabilite obiectivele de audit. La formularea obiectivelor de audit
trebuie să se ia în considerare obiectivele managementului pentru acel sistem. În
mod normal, dacă sistemul satisface obiectivele managementului şi serveşte
intereselor afacerii în cel mai bun mod posibil devine obiectivul general al
auditului.

După cum este descris în definiţia auditului TI, obiectivul general al

auditului IT cuprinde o evaluare a procesului pentru a asigura protecţia bunurilor,
securităţii datelor, eficacitatea sistemului şi eficienţa şi conformarea la reguli şi
regulamente.

Deşi este esenţial de a stabili clar obiectivele auditului pentru iniţierea unui
audit detaliat, este necesar de a înţelege că pe parcursul auditului aceste obiective
ar putea suferi modificări sau formulări ulterioare.
Obiectivele auditului TI includ evaluarea şi aprecierea, proceselor care:
 (a) Asigură securitatea activelor. Se disting următoarele cinci tipuri de active:
 Date
Tipuri de date în sensul cel mai larg, de exemplu: interne şi externe; structurate şi
nestructurate; grafice; sunete; imagini; documentaţie de system; ş.a.
 Aplicaţiile
Aplicaţiile reprezintă un sumar de proceduri atît manual, cît şi programate.
 Tehnologii
Tehnologiile se referă la: echipament, sisteme de operare, sisteme de management a
bazelor de date, reţele de calcul, multimedia, etc.
 Resurse
Resursele care găzduesc şi suportă SI, consumabile, etc.
 Personalul
Competenţele personalului de conştientizare şi productivitate necesare pentru a
planifica, organiza, achiziţiona, furniza, a menţine şi monitoriza SI şi serviciile.
 (b) Asigură că următoarele 7 atribute a datelor ori informaţiei sînt menţinute:
 Eficacitate – asigură că informaţia este relevantă şi pertenentă pentru procesul de
afaceri şi poate fi livrată în timp, correct şi într-o manieră uşor de utilizat.
Deasemenea asigură că SI corespunde obiectivelor generale ale top
managementuliu şi utilizatorilot finali.
  Eficienţă – asigură, că informaţia este furnizată prin utilizarea optimă a resurselor
(cu o productivitate şi economicitate maximă). Asigură că SI utilizează resursele
optimal pentru a atinge obiectivele necesare.
 Confidenţialitatea - asigură că informaţia sensibilă este protejată de acces
neautorizat şi de divulgare.
 Integritatea – asigură acurateţea şi completitudinea informaţiei astfel încît
validarea acesteea să fie efectuată în conformitate cu principiile şi aşteptările
bussinesului.
 Disponibilitatea – asigură că informaţia este disponibilă la momentul solicitării de
bussines-procese şi deasemenea se referă la protejarea resurselor.
 Conformitatea – asigură corespunederea cu cadrul legal şi normativ, precum şi cu
condiţiile contractual al căror subiect este bussines procesul.
 Fiabilitatea informaţiei – asigură că managementului îi este furnizată informaţie
adecvată şi fiabilă pentru luare de decizii.
Astfel Auditul TI examinează dacă procesele TI şi resursele TI sînt combinate
pentru a atinge obiectile propuse ale organizaţiei fără a compromite eficacitatea, eficienţa
şi economicitatea activităţii acesteia, concomitant respectînd şi nomele existente. Acest
lucru poate fi descries schematic în modul următor:
Figura nr.1

Resurse TI Procese TI

Obiectivele
Organizaţiei

1.3. Misiunea Curţii de Conturi

Conform art.31 al Legii Curţii de Conturi nr.261-XVI din 05.12.2008,
Curtea de Conturi efectuează controlul asupra administrării şi întrebuinţării
resurselor
financiare publice şi a patrimoniului public prin auditul regularităţii,
auditul performanţei şi alte tipuri de audit.
 2. Etapele auditului TI
Figura nr.2: Procesul de
audit

Început

Identificarea SI/ aplicaţiile supuse auditului

Identificarea obiectivelor şi scopului auditului

Obiectivele şi scopul documentului de audit

Repatizarea resurselor (auditului)

Şedinţa de deschidere
Etapa
Sistemele de documente preliminară de audit (înţelegerea SI/controale/riscuri)

Nu
Sînt controalele
fiabile?
Da
Testarea controalelor

Testare independentă restrînsă Da Ne putem baza pe Nu Testare independentă exstinsă

controale în continuare?

Evaluarea probelor

Şedinţa de
închidere
Elaborarea raportului şi prezentarea
către management

Stop
 Procesul auditului IT cuprinde în mod obişnuit următorii paşi:

 Planificarea
 Definirea obiectivelor
 Evaluarea controalelor
 Colectarea şi evaluarea probelor
 Raportarea şi urmărirea (monitorizarea executării implementării
recomandărilor)
2.1. Planificarea pentru auditul IT

2.1.1. Privire generală

Planificarea adecvată este un prim pas necesar în realizarea unui audit
eficace al sistemului IT. Planificarea adecvată ajută auditorul la:

 direcţionarea şi controlul lucrului său;

 identificarea domeniilor critice;
 alocarea resurselor limitate de audit către domenii mai importante;
 stabilirea perioadei de timp şi sarcinilor pentru activitatea de examinare;
 obţinerea unor probe suficiente, veridice şi relevante de audit şi
 subsecvent va ajuta entitatea auditată la luarea unor decizii .

2.1.2. Planul strategic

Acesta reprezintă o planificare pe termen lung, unde sarcinile şi obiectivele
pentru auditul sistemelor IT al entităţilor auditate sunt determinate de Curtea de
Conturi pentru o perioadă de la trei la cinci ani. Acest plan ar trebui să cuprindă
toate organizaţiile auditate şi să abordeze probleme ca:

 scopurile şi obiectivele auditului pe termen lung;

 priorităţile auditului şi criteriile pentru prioritizare;
 cum de re-orientat tehnicile şi metodele de audit pentru a satisface
cerinţele schimbătoare;
 cerinţele de personal şi infrastructură şi
 necesităţile de instruire.
2.1.3. Planul anual
Acesta transformă planul pe termen lung într-un program de lucru pentru anul
următor. Planificarea aici defineşte scopurile şi obiectivele fiecărui audit major ce
urmează a fi întreprins pe parcursul anului, cu resursele disponibile în cadrul Curţii de
Conturi.

2.1.4. Micro-planul /Programul de audit

Acesta este un plan de activitate pentru fiecare audit aparte şi explică detaliile
sarcinilor ce urmează a fi realizate pentru fiecare audit, împreună cu planificarea
timpului. Acest plan1 ar trebui să conţină o analiză detaliată a organizaţiei auditate pentru
a determina gradul de asistenţă, dacă este, cerută de la auditorii - specialişti/consultanţi TI
şi divizarea lucrului între auditorul generalist şi auditorul TI. Aceasta cuprinde
următoarele aspecte:

 Planificarea tehnică

 Planificarea logistică

 Evaluarea riscurilor
Notă: Planul anual şi micro planul nu pot fi statice sau fixe, ele necesită a fi
revizuite periodic, pentru ajustări în consonanţă cu schimbările de mediu ale
entităţii.

2.2. Planificarea tehnică

Acesta este cel mai important aspect al planificării auditului – fie acesta audit
de performanţă sau audit financiar, şi implică o înţelegere aprofundată a
organizaţiilor
auditate, mediul de afaceri în care activează, mecanismul de control intern al
acestora şi riscurile implicate prin utilizarea sistemelor IT.

Ca parte a acestui proces, CCRM efectuează o analiză generală a sistemelor

IT ale entităţii auditate pentru a obţine o privire de ansamblu asupra:

 entităţii auditate, naturii afacerii acesteia şi mediului de afaceri inclusiv strategia

lor IT şi politicile, structurile de management şi control (atât pentru auditele
financiare cât şi pentru auditele performanţei);

 mediului de reglementare în care funcţionează entitatea auditată

 detaliilor unităţilor operaţionale – numărul şi locaţia

 mărimii, tipului, naturii şi complexităţii sistemelor IT utilizate de entitatea auditată

(pentru auditul financiar);
 sistemelor IT majore, în ceea ce priveşte valoarea sistemelor în sine şi contribuţia
acestora la realizarea obiectivelor corporative ale entităţii auditate (pentru auditul
performanţei);
 naturii riscurilor la care sunt expuse sistemele şi gradul de vulnerabilitate a
sistemelor IT la astfel de riscuri;
 unităţi /funcţii organizaţionale critice

1
Anexa nr.1 Exemplu de program de audit
  tipurilor principale şi volumelor tranzacţiilor procesate de sisteme

 mărimii şi domeniului de aplicabilitate a auditului intern;

Detaliile de mai sus pot fi colectate de ISA prin:
 efectuarea unui tur al spaţiilor principale ale organizaţiei

 citirea materialului de ordin general inclusiv publicaţiile organizaţiei, rapoartele

anuale şi rapoartele independente de audit /analitice
 examinarea planurilor strategice pe termen lung

 intervievarea personalului cheie pentru a înţelege problemele legate de afacere

 examinarea rapoartelor precedente de audit
Colectarea acestei informaţii va face posibil ca CCRM să aibă o idee clară despre
tipul sistemelor ce urmează a fi auditate, indice domeniile prioritare pentru audit şi
ofere un punct de pornire pentru audit.

2.3. Planificarea logistică

Planificarea logistică include:

 alocarea responsabilităţilor echipei care va efectua auditul IT;

 planificarea metodologiei de audit, de ex. auditul bazat pe sisteme sau verificări

directe de fond în cazul auditului financiar;
 deciderea domeniului de aplicabilitate şi gradul de acoperire a auditului
 alcătuirea bugetului (costurile de efectiv, cât şi de resurse), şi obţinerea aprobărilor
necesare pentru alocarea resurselor
 elaborarea orarului pentru diferite sarcini;
 explorarea căilor de obţinere a probelor de audit şi

 formularea cerinţelor de raportare.

2.4. Cerinţe de resurse

Auditorul IT trebuie să planifice resursele necesare pentru a finaliza
sarcinile atribuite. Resursele există în câteva forme şi toate trebuie luate în
considerare.

2.4.1. Resurse de personal

Auditorul IT necesită de competenţe şi servicii ale colegilor sau altor
specialişti. La determinarea necesităţilor, auditorul IT trebuie să ţină cont de:

 nivelul de experienţă şi competenţele necesare pentru realizarea fiecărei

sarcini;
 necesarul de personal;
  disponibilitatea personalului. Pentru efectuarea auditului TI este necesar de a
“rezerva” personalul din timp pentru a se asigura disponibilitatea lui; şi
 bugetele de timp. Unele ISA ar putea avea sisteme complexe de înregistrare a
timpului şi de bugetare, utilizate pentru a controla resursele de personal
alocate pentru fiecare activitate.

Auditorul trebuie de asemenea să ia în considerare ce resurse de

personal ale clientului sunt necesare şi disponibilitatea acestora.

2.4.2. Fonduri
Auditorul IT ar putea avea nevoie să facă bugetul pentru cheltuieli, în special
dacă examinarea IT include şi elementul deplasări.

2.4.3. Resurse tehnice

Auditorul IT ar putea avea nevoie de resurse tehnice pentru efectuarea
examinării. Exemplele de resurse tehnice includ:

 hardware: auditorul IT ar putea avea nevoie să utilizeze un calculator portabil

pentru realizarea CAAT;
 software: auditorul IT ar putea avea nevoie de software pentru interogări
pentru audit; şi
 manuale tehnice sau ghiduri privind sistemele clientului, de ex. un ghid de
audit privind sistemul de operare al clientului.

3. Evaluarea riscurilor pentru a defini scopul şi obiectivele auditului

La prioritizarea sistemelor IT ale entităţii auditate, echipa de audit trebuie să
desfăşoare o analiză preliminară a sistemelor pentru a identifica riscurile la care sunt
expuse sistemele, natura şi gradul a astfel de riscuri, vulnerabilitatea sistemelor la aceste
riscuri şi măsurile pe care le-a implementat managementul pentru a elimina /minimaliza
astfel de riscuri.
Managementul riscului este responsabilitatea managementului de vârf. Acesta
presupune procesul de identificare a riscului, evaluarea riscului, şi întreprinderea unor
măsuri pentru reducerea riscului la un nivel acceptabil, analizând atât probabilitatea cât şi
impactul producerii riscului. Cele trei obiective de securitate ale oricărei organizaţii sunt
Confidenţialitatea, Integritatea şi Disponibilitatea. În audit evaluăm dacă vreunul din
aceste obiective este încălcat, şi dacă da, în ce măsură. Evaluarea riscului este o analiză
sistematică a faptului că:
 eşuarea activităţii entităţii poate să rezulte din insuficienţă de securitate, luând în
considerare consecinţele potenţiale de pierdere a confidenţialităţii, integrităţii sau
 disponibilităţii informaţiei şi altor active;
 probabilitatea unor astfel de eşecuri trebuie analizată prin prisma comparaţiei
pericolelor şi vulnerabilităţilor cu controalele implementate la moment.
Este deci, necesar să înţelegem că există o justificare între costuri şi riscuri, care sunt
acceptată de către management. De exemplu, managementul ar putea să decidă în mod
conştient că păstrarea informaţiei în afară instituţiei nu este necesară pentru diminuarea
riscurilor, dacă acestea sunt acceptabile pentru companie. Cu alte cuvinte este important
de a studia perspectiva managementului şi politica formulată înainte ca auditul să ajungă
la o concluzie cu privire la riscurile acceptabile sau neacceptabile.
Din acest motiv, orice evaluare a siguranţei sistemului IT va trebui să fie bazată pe
studiul politicilor şi procesele managementului riscului adoptate de organizaţie. Este
necesar un audit detaliat şi testarea de fond, unde evaluarea riscului este înaltă şi
managementul riscului slab.
 La etapa de planificare este necesar să se studieze procesul de management al
riscului pentru a înţelege ameninţările aşa cum sunt percepute de către management,
impactul acestora asupra sistemelor şi să se evalueze în mod independent dacă aceste
ameninţări au fost contracarate sau preîntâmpinate cu eficacitate şi în mod econom.
O analiză independentă a riscului de către auditor ajută nu doar la identificarea
domeniilor ce trebuie examinate, dar şi la determinarea obiectivelor auditului şi
sprijinirea deciziilor de audit bazate pe risc.

3.1 Paşi în analiza riscurilor

Paşii care pot fi urmaţi pentru o abordare bazată pe risc la elaborarea unui plan de
audit sunt:
 Inventarierea sistemelor informaţionale utilizate de către organizaţie şi divizarea
pe categorii a acestora.
 Determinarea sistemelor care au impact critic asupra funcţiilor sau valorilor, astfel
ca mijloace financiare, materiale, clienţi, luarea deciziilor, şi cât de aproape de
timpul real operează acestea.
 Estimarea riscurilor care afectează aceste sisteme şi nivelul impactului asupra
afacerii.
 În baza estimărilor de mai sus se va decide prioritatea, resursele, orarul şi
frecvenţa auditului.
Riscurile care afectează un sistem şi care trebuie luate în considerare la etapa
estimării pot fi diferenţiate ca riscuri inerente, riscuri de control şi riscuri de nedetectare.
Aceşti factori au impact direct asupra gradului de risc al auditului care poate fi definit ca
riscul că raportul informaţional /financiar ar putea să conţină erori materiale care ar putea
trece nedepistate pe parcursul auditului.

3.2 Riscul inerent

Riscul inerent este susceptibilitatea resurselor informaţionale sau resurselor
controlate de sistemul informaţional la furturi materiale, distrugere, divulgare, modificare
neautorizată, sau alte defecţiuni, cu condiţia că nu există controale interne asociate. De
exemplu, riscul inerent asociat cu aplicarea securităţii este de obicei înalt, deoarece
modificările efectuate, sau chiar şi dezvăluirea datelor sau programelor prin intermediul
punctelor slabe ale securităţii sistemului de aplicaţii poate rezulta în informaţie de
gestionare falsă sau dezavantaje competitive. Contrariu, riscul inerent asociat cu
securitatea pentru un calculator separat, când o analiză adecvată demonstrează că acesta
nu este folosit pentru scopuri critice ale afacerii, este, de obicei, redus.

3.3 Riscul de control

Riscul de control este riscul ca o eroare care poate să apară într-un domeniu al
auditului, şi care ar putea fi materială, separată sau în combinaţie cu alte erori, nu va fi
prevenită sau depistată şi corectată la timp de sistemul de control intern. De exemplu,
riscul de control asociat cu examinările manuale ale jurnalelor de pe calculator poate fi
înalt
 deoarece activităţile ce necesită investigaţie sunt deseori trecute cu uşurinţă cu
vederea din cauza volumului de informaţie înregistrată în jurnal. Riscul de control asociat
cu procedurile de validare a datelor computerizate este de obicei redus deoarece procesele
sunt aplicate consecvent.

Estimarea preliminară a caracterului adecvat sau altfel al controalelor ar putea fi

făcut în baza discuţiilor cu managementul, un studiu preliminar al aplicaţiei,
chestionarelor şi documentaţiei disponibile. Nivelul de conştientizare al controlului în
organizaţia auditată şi existenţa sau inexistenţa standardelor de control sunt indicatori
cheie pentru evaluarea controlului preliminar ce urmează a fi efectuat de către auditori.
Evaluarea la această etapă ajută, de asemenea, la ajustarea obiectivelor de audit, care
trebuie să fie explicate înainte de începerea testărilor de fond.

Politicile, procedurile, practicile şi structurile organizaţionale puse în aplicare pentru

a reduce riscurile sunt numite controale interne. Proporţia controalelor interne prezente
va determina gradul de risc ale aplicaţiei auditate şi de asemenea cuantumul de auditare
ce urmează a fi întreprins. Cu alte cuvinte, acolo unde controalele interne sunt dorite,
proporţia auditului creşte odată cu creşterea testărilor de fond şi invers.

Controalele IT sunt grupate ca: controale generale, controale ale aplicaţiilor şi

controale specifice. La etapa de planificare ar fi suficient ca auditorul să-şi formeze o
opinie generală privind natura şi caracterul adecvat a controalelor desfăşurate într-un
sistem IT şi, de asemenea, în domeniile unde controalele sunt slabe şi vulnerabile.
Aceasta formează baza pentru cuprinderea, domeniile şi profunzimea testărilor necesare.
De asemenea este esenţial ca paşii să fie înregistraţi în mod detaliat pentru a servi drept
indicatoare.

Activităţile de control intern şi procesele de suport sunt fie manuale sau acţionate de
resurse informaţionale automatizate computerizate. Elementele controalelor care trebuie
luate în considerare la evaluarea puterii controlului sunt clasificate ca Preventive,
Detective (de depistare) şi Corective cu următoarele caracteristici.

Preventive  Depistează problemele înainte ca acestea să apară

 Monitorizează atât operaţiunile cât şi resursele

 Încearcă să prezică problemele potenţiale, înainte ca
acestea să apară şi să facă ajustări
 Prevină apariţia unei erori, omisiuni sau vreunui act maliţios
Detective  Utilizează controale care depistează şi raportează
apariţia unei erori, omisiuni sau vreunui act maliţios
 Corec
tive

 Minimizează impactul unei ameninţări

 Rezolvă problemele descoperite de controalele detective

 Identifică cauza problemei

 Corectează erorile care apar din cauza vreunei probleme

 Modifică sistemele de procesare pentru a minimaliza

apariţia problemei pe viitor

În mod obişnuit, auditorul trebuie să facă o evaluare preliminară a controalelor şi să

elaboreze planul de audit în baza acestei evaluări. Pe parcursul examinării, auditorul va
lua în considerare caracterul adecvat al acestei evaluări la determinarea gradului de
încredere în aceste controale pe parcursul testărilor. De exemplu, la utilizarea
programelor de calculator pentru a testa fişierele de date, auditorul trebuie să evalueze
controalele asupra bibliotecilor de programe ce conţin programe utilizate în scopuri de
audit pentru a determina gradul de protecţie al programelor faţă de modificările
neautorizate. Similar, dacă accesul nu este controlat sau reglementat prin parole, acest
lucru indică controale slabe ale securităţii cu un risc înalt al sistemului de a fi atacat sau
spart.

3.4 Identificarea domeniilor de control ale managementului riscului

În baza estimărilor riscurilor inerente şi de control, inclusiv evaluării preliminare a
controalelor bazate pe calculator, auditorul trebuie să identifice tehnicile generale de
control care par cel mai probabil a fi eficace şi care, din acest motiv, trebuie testate
pentru a determina dacă de fapt funcţionează eficace. Bazându-se pe aceste estimări
preliminare pentru a planifica testele de audit, auditorul poate evita folosirea resurselor
pentru testarea controalelor care, în mod clar, nu sunt eficace.

3.5 Domeniul de aplicare şi scopul auditului intern

Auditorii TI interni şi auditul TI extern au roluri complimentare de activitate. Cînd
există o suprapunere a domeniilor de aplicare, abordarea auditului extern trebuie
revăzută. Auditul TI extern trebuie să evalueze capacitatea, scopul şi eficienţa funcţiei de
audit intern TI pentru a decide ce verificări urmează să fie efectuate pentru a evita
duplicarea.

Punctele slabe ale auditului TI intern ne indică nivelul sporit de risc în controlul
intern şi duce în mod obligatoriu la extinderea ariei de audit extern. Domeniile de risc de
bază cu care auditorul extern se poate confrunta pe parcursul evaluării auditului TI intern:

 auditul intern nu raportează conducerii de vîrf,

 managementul nu cere conformarea cu recomandările auditului intern,
 auditorul intern nu are toate împuternicirile necesare pentru efectuarea unei game
complete de evaluări,sau pot exista restricţii semnificative privind domeniul de
aplicare a activităţii sale,
  insuficienţa de resurse (financiare, de personal, competenţe necesare),
 neimplicarea auditului intern în proiectele TI în curs de dezvoltare.

3.6 Riscul de nedetectare

Riscul de nedetectare este riscul ca procedurile de fond ale auditorului IT să nu
depisteze o eroare care ar putea fi materială, separată sau în combinaţie cu alte erori. De
exemplu, depistarea riscurilor asociate cu identificarea penetrării securităţii într-un sistem
de informaţional este, de obicei, înalt deoarece jurnalele (logurile) pentru întreaga
perioadă de audit nu sunt disponibile la etapa de efectuare a auditului. Riscul de
nedetectare asociat cu identificarea lipsei planurilor de recuperare în caz de dezastru este
de obicei redus deoarece existenţa acestuia se poate verifica cu uşurinţă.

La determinarea nivelului testărilor de fond necesare, auditorul IT trebuie să

ia în considerare:

 Estimarea riscului inerent

 Concluzia la care s-a ajuns privind riscul de control în urma testărilor de

conformitate

Cu cât mai înaltă este estimarea riscului inerent şi de control cu atât mai multe probe
de audit urmează să obţină auditorul IT din efectuarea procedurilor de fond în cadrul
auditului.

3.7 Obiectivele şi domeniul de aplicabilitate a auditului

În baza evaluării riscurilor şi a controalelor aplicaţiei /sistemului selectat pentru
audit sunt stabilite obiectivele de audit. La formularea obiectivelor de audit trebuie să se
ia în considerare obiectivele managementului pentru acel sistem. În mod normal, dacă
sistemul corespunde obiectivelor managementului şi serveşte intereselor afacerii, devine
obiectivul general al auditului.
Deşi este esenţial de a stabili clar obiectivele auditului pentru iniţierea unui audit
detaliat, este necesar de a înţelege că pe parcursul auditului aceste obiective ar putea
suferi modificări sau formulări ulterioare.
După cum este descris în definiţia auditului IT, obiectivul general al auditului IT
cuprinde o evaluare a procesului pentru a asigura protecţia bunurilor, securităţii datelor,
eficacitatea sistemului şi eficienţa şi conformarea la reguli şi regulamente. Obiectivele
auditului IT merg mână în mână cu orice obiective de audit al performanţei, financiar sau
de regularitate, pe care auditorul le-ar putea întreprinde.
Următoarea listă ilustrează unele din obiectivele obişnuite de audit pentru un audit IT.
 Evaluarea controalelor efectuate asupra sistemelor IT pentru a obţine asigurare cu
privire la corespunderea şi eficacitatea acestora;
 Evaluarea proceselor principale utilizate în operaţiunile unui domeniu dat (de
exemplu, procesele principale într-un sistem de facturare vor fi calcularea valorii facturii,
 generarea facturii, colectarea taxelor, evidenţa plăţilor întârziate/ ne-plăţilor, etc.) sau
un sistem (de ex., sistem de salarizare, sistem de contabilitate financiară, etc.);
 Evaluarea performanţei unui sistem;
 Examinarea securităţii sistemelor IT;
 Examinarea procesului de elaborare a sistemului şi a procedurilor urmate la
diferite etape ale acestuia.
Obiectivele de audit şi domeniul de aplicabilitate ar putea cuprinde mai mult
decât doar un singur aspect al domeniilor menţionate mai sus. De exemplu,
examinarea securităţii sistemului ar putea cuprinde doar unul din următoarele
aspecte sau o combinaţie a acestora:
 Securitatea paravanului de protecţie (Firewall-ului )
 Securitatea accesului fizic
 Parolele
 Securitatea setărilor
 Politicile conturilor de utilizatori
 Drepturile utilizatorului, etc.
Domeniul de aplicabilitate defineşte limitele auditului. Determinarea domeniului
de aplicabilitate al auditului reprezintă o parte a planificării auditului. Aceasta
abordează astfel de aspecte ca perioada şi numărul de locaţii ce vor fi cuprinse şi
volumul de testări de fond în dependenţă de nivelurile de risc şi punctele slabe ale
controlului. Nu mai este nevoie de spus că domeniul de aplicabilitate al auditului va
suferi schimbări în procesul de desfăşurare al auditului.